Rabatttilbud for flere lisenser
Trusseldatabase Fjernadministrasjonsverktøy AGEWHEEZE RAT

AGEWHEEZE RAT

Med Mezo i Fjernadministrasjonsverktøy, Advanced Persistent Threat (APT)
Oversett til:

Nettsikkerhetsanalytikere har avdekket en målrettet phishing-operasjon der trusselaktører utga seg for å være Ukrainas beredskapsteam for å distribuere et eksternt administrasjonsverktøy kjent som AGEWHEEZE. Kampanjen, som ble tilskrevet gruppen UAC-0255, baserte seg på villedende e-poster sendt 26. og 27. mars 2026, der de oppfordret mottakerne til å installere det som ble beskrevet som «spesialisert programvare».

Disse e-postene inneholdt lenker til et passordbeskyttet ZIP-arkiv som ligger på Files.fm. Arkivet, kalt CERT_UA_protection_tool.zip, ble presentert som et legitimt sikkerhetsverktøy, men leverte i stedet ondsinnede nyttelaster. Noen meldinger kom fra den forfalskede adressen «incidents@cert-ua.tech», noe som ytterligere forsterket illusjonen om autentisitet.

Målprofil og angrepsrekkevidde

Operasjonen kastet et bredt nett og rettet seg mot et bredt spekter av organisasjoner som er kritiske for nasjonal infrastruktur og offentlige tjenester. Disse inkluderte:

  • Regjeringen og statlige institusjoner
  • Medisinske og helseinstitusjoner
  • Sikkerhets- og forsvarsrelaterte selskaper
  • Utdanningsorganisasjoner
  • Finansinstitusjoner
  • Programvareutviklingsfirmaer

Til tross for den brede målrettingsstrategien, ser kampanjens samlede effektivitet ut til å være begrenset. Bare et lite antall infeksjoner ble bekreftet, hovedsakelig berørt personlige enheter til ansatte i utdanningsinstitusjoner.

Inni AGEWHEEZE: Evner og vedvarende mekanismer

AGEWHEEZE er en Go-basert fjerntilgangstrojaner utviklet for omfattende systemkontroll og overvåking. Når den er distribuert, etablerer den kommunikasjon med en kommando- og kontrollserver på 54.36.237.92 ved hjelp av WebSocket-protokoller.

Skadevaren lar angripere utføre et bredt spekter av ondsinnede aktiviteter, inkludert:

  • Utføre vilkårlige kommandoer og administrere systemprosesser
  • Utføre filoperasjoner og manipulere lagrede data
  • Ta skjermbilder og overvåke brukeraktivitet
  • Emulering av mus- og tastaturinnganger
  • Endre innholdet på utklippstavlen
  • Opprettholde utholdenhet via planlagte oppgaver, endringer i Windows-registeret eller plassering i oppstartskatalogen

    • Denne kombinasjonen av funksjoner gjør AGEWHEEZE til et allsidig verktøy for spionasje, lateral bevegelse og langsiktig systemkompromittering.

    Villedende infrastruktur og AI-assistert fabrikasjon

    Undersøkelse av det falske domenet «cert-ua.tech» avdekket indikatorer på automatisert eller AI-assistert utvikling. Nettstedets HTML-kildekode inneholdt en bemerkelsesverdig kommentar på russisk: «С Любовью, КИБЕР СЕРП» («Med kjærlighet, CYBER SERP»), noe som tyder på at det kan tilskrives en gruppe som kaller seg Cyber Serp.

    Cyber Serp har hevdet tilknytning til ukrainske cyber-underground-miljøer via sin Telegram-kanal, som ble etablert i november 2025 og har samlet over 700 abonnenter. Gruppen hevdet offentlig at phishing-kampanjen var rettet mot opptil én million e-postkontoer og resulterte i over 200 000 kompromitterte enheter, tall som overstiger uavhengige vurderinger betydelig.

    Motstridende påstander og bredere trusselaktivitet

    Cyber Serp har forsøkt å posisjonere seg som en selektiv aktør, og hevder at vanlige borgere ikke vil bli påvirket av virksomheten deres. Slike uttalelser er imidlertid uforenlige med den vilkårlige naturen til storskala phishing-kampanjer.

    I en separat hendelse tok gruppen på seg ansvaret for å ha brutt Cipher-sikkerhetssystemet, og påsto tilgang til serverdata, klientdatabaser og proprietær kildekode. Cipher bekreftet senere et begrenset sikkerhetsbrudd som involverte en ansatts legitimasjon, men understreket at:

    • Kjerneinfrastrukturen forble sikker og operativ
    • Den berørte kontoen hadde bare tilgang til ett enkelt, ikke-sensitivt prosjekt

    Denne avviket fremhever en vanlig taktikk blant trusselaktører, å overdrive påvirkning for å forsterke opplevd innflytelse og troverdighet.

    Vurdering og sikkerhetsmessige implikasjoner

    Kampanjen demonstrerer den fortsatte effektiviteten av etterligningstaktikker, spesielt når man utnytter pålitelige nasjonale cybersikkerhetsenheter. Selv om den umiddelbare effekten var begrenset, signaliserer den tekniske sofistikasjonen til AGEWHEEZE og omfanget av forsøket på distribusjon et vedvarende og utviklende trussellandskap.

    Organisasjoner anbefales å styrke e-postbekreftelsesprosesser, granske uoppfordrede vedlegg og lære opp personell i å gjenkjenne forsøk på etterligning som involverer autoritative institusjoner.

    Trender

    Mest sett

    Laster inn...